Hlavní navigace

Je váš web-hosting bezpečný?

Jiří Kosek 5. 6. 2001

Mít vlastní webovou prezentaci je dnes v kurzu. Málokomu se však pro tyto účely vyplatí zřízení serveru. Nejobvyklejší způsob vystavení webu je pronájem prostoru na serveru nějaké web-hostingové firmy - jednoduše tam stránky pomocí FTP protokolu přenesete. A tady pro vás mohou začít vážné problémy.

Protokol FTP umožňuje přenos souborů mezi dvěma počítači a patří mezi nejstarší aplikační protokoly, které se začaly na Internetu uplatňovat. To je také jeden z důvodu, proč je dnes tolik používaný – podporuje ho velké množství aplikací. V době vzniku protokolu FTP byla však bezpečnost přenosu dat v podstatě ignorována. V praxi to znamená, že při přenosu souborů pomocí FTP putuje po Internetu v odkryté podobě nejen obsah všech přenášených souborů, ale i jméno a heslo, kterým se přihlašujete k počítači, na který chcete soubory s vaší prezentací nahrát.

Vzhledem k tomu, že jméno a heslo se po síti přenáší v otevřené, nezašifrované podobě, může ho odposlechnout kdokoliv, kdo má přístup k počítači, který leží v cestě mezi vámi a vaším web-hostingovým serverem. Existují totiž šikovné prográmky, většinou známé pod názvem sniffery, které monitorují veškerý provoz v daném místě sítě. Většinou si v nich můžete nastavit filtr, který monitoruje pouze některé protokoly – např. právě FTP. Klidně pak sedíte před svým monitorem, kde se vám postupně objevují jména a hesla ostatních uživatelů. Jakmile máte jméno a heslo pro přístup k cizímu FTP účtu, nemusíte být ani CzERT, ani binary.division, abyste někomu „hackli“ stránky.

V samotné páteři Internetu je samozřejmě reálné riziko odposlechu poměrně malé. Většina provozu totiž není směrována běžnými počítači, ale směrovači, na kterých se takový sniffer spouští rozhodně obtížněji než na běžném počítači. K těmto počítačům a směrovačům má navíc přístup jen omezená a doufejme zodpovědná skupina osob. Největší riziko odposlechu je ve vaší lokální síti. V rámci jednoho segmentu sítě lze totiž odposlechnout provoz jakéhokoliv počítače. Nejčastěji tak vaše heslo může odposlechnout kolega od vedlejšího stolu nebo ze sousední kanceláře. Každopádně riziko odposlechu hesla tu je.

Podíváme-li se v tomto světle na nabídku většiny firem nabízejících web-hostingvé služby, nabudeme dojmu, že bezpečnost dat zákazníka je až na posledním místě. Všechny web-hostingy nabízejí přístup přes FTP a většinou i přes proprietární rozhraní FrontPage, které na tom s bezpečností není o nic lépe. Toto chování je z jistého úhlu pohledu celkem pochopitelné – pro uživatele je přístup přes FTP nejjednodušší (o nebezpečnosti většinou nemají ani potuchu) a web-hostingová firma se také nemusí o nic moc starat. Nějaký ten FTP démon je dnes standardní součástí všech operačních systémů (ať už unixových nebo Windows NT/2000).

Pokud vám na bezpečnosti vašich stránek záleží, asi vás zajímá, jaké jsou bezpečnější možnosti přenosu stránek. Pojďme se proto podívat na nejvhodnější kandidáty pro bezpečný přenos souborů z našeho počítače na web-hostingový server.

První volba může padnout opět na FTP, tentokráte však zašifrované pomocí SSL vrstvy. SSL umožňuje šifrovat v podstatě jakýkoliv aplikační protokol postavený na TCP – nejběžněji se používá ve spojení s HTTP protokolem (URL stránek přístupných přes HTTP začíná schématem https:). SSL můžeme použít i v kombinaci s FTP. Proč se tento přístup běžně nepoužívá? Protože běžné FTP servery a FTP klienti tuto možnost nenabízejí. Podporu FTPS (FTP přes SSL) umožňují běžně jen webové prohlížeče, ty však nenabízejí komfort srovnatelný se specializovanými FTP klienty. Běžné FTP servery SSL také nepodporují. Na straně serveru lze problém obejít pořízením jiného FTP server s podporou SSL.

Na straně klienta a/nebo serveru lze celý problém vyřešit i pomocí tunelování FTP protokolu přes SSL. Klient i server používá klasické FTP, ale komunikaci transparentně obalí do SSL, aby byla bezpečná. Jeden z programů, který umí téměř cokoliv tunelovat přes SSL, je stunnel. Na straně klienta může jeho použití vypadat následovně:

  1. Spustíme stunnel a řekneme mu, že veškerý provoz na lokálním FTP portu má zašifrovat a přeposlat na jiný počítač a port. (Předpokládáme, že na tomto počítači běží FTPS server. Může tam běžet i běžný FTP server a na portu naslouchat druhý stunnel, který komunikaci rozšifruje a lokálně ji předá běžnému FTP serveru.).

  2. Používáme náš oblíbený FTP klient, který je například přímo zabudován v HTML editoru. Místo na vzdálený počítač se pomocí FTP připojíme na náš počítač, stunnel automaticky veškerou komunikaci zašifruje a pošle vzdálenému serveru.

  3. Až na spuštění a nastavení tunelovacího programu nemusíme měnit naše návyky a oblíbené aplikace.

Dalším běžně používaným způsobem je protokol SCP (Secure Copy). Tento protokol využívá protokol SSH (Secure Shell), který umožňuje zabezpečený terminálový přístup na vzdálený počítač (v podstatě se jedná o takový bezpečný telnet). Po tomto spojení pak SCP klient posílá příkazy pro průchod adresářovou strukturou a pro přenos souborů. SCP se běžně používá na unixových serverech, ale existují i implementace pro Windows.

Na straně klienta lze použít jednak klasického řádkového klienta, ten je však pro mnoho běžných uživatelů nepřátelský. Existuje však grafická nadstavba winscp, která se ovládá podobně jako Norton Commander a umožňuje běžné operace se vzdálenými i lokálními soubory. Navíc lze při přenosu měnit velikost písmen v názvech souborů, nastavovat práva a vlastníka souboru na serveru apod.

Mnoho web-hostingových firem přístup přes SCP nenabízí, protože by musely klientům povolit terminálový přístup přes SSH. To se jim pochopitelně moc nechce, protože je pak mnohem snazší nalézt nějakou bezpečnostní díru v systému a proniknout do něj. Navíc by v tomto případě měl být zakázán přístup přes FTP, aby nikdo nemohl heslo odposlouchat a následně zneužít SSH přístup. Tento problém odstraňují některé specializované SCP servery, které umožňují omezit operace dostupné na vzdáleném serveru. Uživatel se pak nemůže vzdáleně přihlásit, může pouze použít SCP pro přenos souborů.

Velkou budoucnost pro přenos souborů má protokol WebDAV. Jedná se o rozšíření protokolu HTTP o možnost sdílení souborů umístěných na webovém serveru s podporou WebDAV. Protokol umožňuje takové věci jako zamykání souborů, správu verzí a řízení přístupu. Jeho podpora je kromě serverů postupně přidávána i do některých klientských aplikací. Práce se zdroji umístěnými na WebDAV serveru je stejně snadná jako s lokálními soubory. Tím, že WebDAV běží nad HTTP, lze snadno použít šifrovanou verzi HTTPS. S podporou WebDAV u hostingových firem se zatím bohužel také nesetkáte.

Co však některé firmy nabízejí už dnes, je bezpečný přístup přes webové rozhraní. Stránky přístupné přes HTTPS obsahují formuláře, které umožňují upload souborů na server. Tento způsob je sice bezpečný, ale při větším počtu souborů značně nepohodlný. Někdy se proto setkáte s možností přenést celý web zazipovaný a skript na serveru jej pak automaticky rozbalí do adresářové struktury.

Pro opravdu velké weby, které se skládají ze stovek či tisíce souborů – stránky, obrázky, CSS styly, skripty apod. --, jsou všechny výše popsané způsoby přenosu dost nepohodlné. Web obvykle vyvíjíte na lokálním počítači a po úpravě potřebujete přenést změny na „ostrý“ server. Pokud pokaždé kopírujete celý web, je to zbytečné plýtvání časem a přenosovou kapacitou. Pokud ručně kopírujete změněné soubory, dříve nebo později se vám stane, že na některý ze souborů zapomenete. V tomto případě se vám může hodit nějaký systém pro správu verzí – dnes je asi nejpopulárnější CVS. Všechny soubory máte kromě svého lokálního disku umístěny v repozitory, která si pamatuje i všechny předchozí verze souborů. CVS umí inteligentně a automaticky do repozitory a z repozitory přenášet změny provedené v souborech. Soubory na web-hostingový server můžete rovněž přenášet pomocí CVS klienta. Výhoda je v tom, že se přenáší jen aktualizované soubory. Nemusíte si proto pamatovat, co jste změnili, a co ne. Abyste mohli na serveru použít CVS klienta, musíte mít přístup pomocí SSH. Samotná komunikace s CVS repozitory může probíhat přes kanál zabezpečený pomocí SSH nebo SSL – nikdo tedy nic neodposlechne.

Jestli se nechcete ráno probudit a zjistit, že někdo neoprávněně změnil vaše stránky, měli byste od svého poskytovatele webového prostoru požadovat něco bezpečnějšího než FTP. S většinou profesionálů se lze dohodnout a získat některou z výše zmíněných bezpečných možností přístupu. Časem snad nabídka FTP přístupu vymizí, nebo bude alespoň doplněna informací o tom, že to není zrovna ta nejbezpečnější varianta. Zatím se bohužel bezpečnost spíše podceňuje. Být trochu paranoidní se vám může vyplatit.

Našli jste v článku chybu?

8. 6. 2001 8:47

Jan Vitek (neregistrovaný)
tak to je mi lito, na hledani wgetu pro win32 zase nemam cas ja.

7. 6. 2001 19:03

Jirka Kosek (neregistrovaný)
Na adrese uvedené v článku:

http://www.stunnel.org/

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

Měšec.cz: Vklad na cizí účet je draze zpoplatněn (přehled)

Vklad na cizí účet je draze zpoplatněn (přehled)

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Vitalia.cz: Pečete cukroví a zbyl vám bílek?

Pečete cukroví a zbyl vám bílek?

Vitalia.cz: Chtějí si léčit kvasinky. Lék je jen v Německu

Chtějí si léčit kvasinky. Lék je jen v Německu

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!

Root.cz: Vypadl Google a rozbilo se toho hodně

Vypadl Google a rozbilo se toho hodně

DigiZone.cz: Milan Kruml: procházka TV historií

Milan Kruml: procházka TV historií

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

120na80.cz: Rakovina oka. Jak ji poznáte?

Rakovina oka. Jak ji poznáte?

DigiZone.cz: Perspektivy TV v roce 1939 podle časopisu Life

Perspektivy TV v roce 1939 podle časopisu Life

Lupa.cz: Babiš: E-shopů se EET možná nebude týkat

Babiš: E-shopů se EET možná nebude týkat

Měšec.cz: Finančním poradcům hrozí vracení provizí

Finančním poradcům hrozí vracení provizí

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU

Root.cz: Mirai má nový cíl 5 milionů routerů

Mirai má nový cíl 5 milionů routerů

Měšec.cz: Jak levně odeslat balík přímo z domu?

Jak levně odeslat balík přímo z domu?

120na80.cz: Stoná vaše dítě často? Upravte mu jídelníček

Stoná vaše dítě často? Upravte mu jídelníček

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět